CISOがセキュリティを損なわずにコスト削減する方法

TippaPatt | shutterstock.com

数年前、David Mahdi氏（現Transmit SecurityのIAMスペシャリスト兼CISOアドバイザー）は、おそらくすべてのセキュリティ責任者が恐れる状況に直面しました。予算が年度途中で大幅に削減されることになったのです――何も先送りできない状況で。「当時は、内部問題、技術的負債、市場圧力、地政学的要因が絡み合い、制御不能な状況でした。私はできるだけ早く痛みを伴う妥協を強いられました」と同氏は振り返ります。

この削減が非常に速いペースで行われることから、Mahdi氏はすぐにギャップが生じることは避けられないと悟りました。この経験は、財政的な窮地への彼のアプローチに影響を与えました。彼は同様の状況にあるCISOに対し、どこを削減し、何を絶対に守るべきかを意識的かつ慎重に決定することを強く勧めています。「すべての分野で一律に削減するような誤った節約策には注意してください。それは最初は見えない脆弱性を生み出し、やがて何かが壊れるまで気づかないのです。」

CISOが削減対象とすべきポイント

今後、より多くのセキュリティ責任者がこのような窮地に立たされる可能性は高いでしょう。最新の調査結果を見ると、サイバーセキュリティ予算の二桁成長時代は終わったようです。IANS ResearchとArtico Searchによる最新の「Security Budget Benchmark Report」によれば、2024年に予算削減を経験したCISOは全体（750人調査）の8人に1人。また、CISOの約3分の1が予算不足を訴えています。CISOの支出内訳は以下の通りです：

• 人件費・報酬が全体の37％と最大を占め、
• 外部ソフトウェアに23％、
• ハードウェアに5％、
• トレーニング施策にはわずか4％、
• 事前に用途が決まっていない支出が3％です。  

この限られた配分から、予算削減時にセキュリティ責任者の裁量がほとんどないことが分かります。何を守り、何を減らすか――企業を危険にさらさずに決断するには、戦略的な思考が求められます。Mahdi氏によれば、正しいマインドセットを持つことも同様に重要です。「予算が削減されるときこそ、既存のリスク前提やレガシーコストを見直し、サイバーセキュリティ投資をビジネスの重要成果に合わせるチャンスです。」

このとき、セキュリティ専門家は次の3つの観点に基づく体系的なアプローチを取ります：

• 戦略的リスク：このコントロールが失敗した場合、実際のリスクはどれほどか？
• ビジネスとの整合性：どの機能が売上、顧客信頼、コンプライアンスを支えているか？
• ノーブレイナー：冗長なツール、使われていないソフトウェア、または「セキュリティ・シアター」（見かけ倒しで実効性のない対策）に該当するコントロール。

この評価のために、Mahdi氏は各事業部門のリーダー、セキュリティアーキテクト、脅威インテリジェンスの専門家、社内外の信頼できる人材からなるクロスファンクショナルなチームを編成します。「この協働的なアプローチは責任を分担するだけでなく、見落としを発見し、削減を企業全体のリスク状況に合わせるのに役立ちます」と同氏は説明します。さらに、重要な指標を活用し、特定のツールやプロセスが効率的に機能しているかを評価します。最後に、投資がどれだけ早く成果を出せるかも考慮します。「このフレームワークを用いれば、CISOはリスクを大きく増やさずに削減できる分野を特定できます」とMahdi氏は約束します。

同氏によれば、最初に見直すべき分野の一つは冗長なツールです。「2つのツールが機能的に大きく重複している場合は、より統合性やサポートが優れた方を残しましょう。その後、古いコンプライアンス重視のコントロールを見直し、合理化できるものを探します。チェックリストの項目を埋めるだけのコントロールではなく、実効性のあるコントロールに集中してください。これは、古いガバナンス・リスク・コンプライアンス構造に過度に依存している企業ほど重要です」とMahdi氏は述べます。

しかし、すべての予算決定が白黒はっきりしているわけではありません。たとえば実験的またはイノベーションプロジェクトのような施策はグレーゾーンにあります。価値はあるものの、必ずしも緊急性は高くありません。財政的に厳しい時期には、差し迫った脅威やコンプライアンス要件に関係しない限り、こうしたプロジェクトは一時的に延期することも可能だとMahdi氏は指摘します――ただし、「イノベーションプロジェクトの中断でチームの士気を保つためには、予算状況が改善した際の再開戦略を詳細に策定しておくべきです」と付け加えます。

Laura Gonzalez Priede氏（セキュリティベンダーApproach CyberのCISO）は、予算削減時には人材とプロセスに注目しています。「ツールは重要ですが、多くはオープンソースや自社開発の代替手段で置き換え可能です。有能な従業員によって支えられた強固なプロセスは、特定のツールがなくても補完できる場合が多いです。」

それでも人員削減が避けられない場合、Mahdi氏は視野を広げることを勧めています。「技術的に高度な職種が必ずしもビジネス成功に不可欠とは限りません。セキュリティとビジネスを結びつける人材こそ、最も重要な資産であることもあります。」

セキュリティ責任者が高くつく失敗とは

サイバーセキュリティ予算の削減ポイントを見極めるのは非常に難しい作業です。さらに時間的なプレッシャーが加わると、状況はさらに悪化します。Mahdi氏は「私の経験では、CISOはプレッシャー下で検知・対応能力、インシデント対応プログラム、セキュリティオペレーションのリソースを削りがちです」と語ります。

こうした責任者は、より強力な予防策を講じれば、セキュリティインシデント対応への投資を減らせると考えがちです。しかし、これはリスクの高い考え方だとMahdi氏は指摘します。「予防は素晴らしいですが、何かしらは必ず突破されます。本当に問題が起きたときに重要なのは、コントロールの数ではなく、対応の速さと攻撃の封じ込め、そして迅速な復旧です。」

Mahdi氏によれば、CISOが予算削減時に犯しがちなもう一つのミスは、クロスファンクショナルな役割――たとえばプロダクトセキュリティ、ガバナンス、ビジネス志向のリスク管理――を削減することです。「これらの役割は橋渡し役です。失われると、セキュリティは受け身になり、誤解され、周縁化されてしまいます。」

Approach CyberのGonzalez Priebe氏も同様の見解ですが、特に人材とトレーニングに注目しています。「継続的な教育は、従業員の能力とセキュリティ意識を維持します。絶えず進化する脅威環境では、これは極めて重要です。」

さらに、プロセス文書化の欠如もセキュリティ責任者がよく犯す失敗です。これはビジネス継続性に不可欠であり、特に重要な従業員が退職した場合に顕著です。「十分に文書化されたプロセスがなければ、企業は重要なノウハウや実行の一貫性を失うリスクがあります。これもまた予測できないリスクを招く可能性があります。」（fm）

ITセキュリティに関するさらに興味深い記事をお探しですか？無料ニュースレターで、セキュリティ責任者や専門家が知っておくべき情報をすべて、あなたの受信箱にお届けします。